PDA

View Full Version : نقطه ضعف امنیتی در PHP - Nuke



Inprise
چهارشنبه 10 دی 1382, 10:51 صبح
سلام

PHP - Nuke یکی از پر کاربردترین مدیریت کننده های محتوای سایت وب مبتنی بر وب است که بسیاری از دوستان حاضر در همین سایت ( مثلا خود برادر اسیستی ) ازش استفاه میکنند . توی یکی از "ماژول" های این برنامه یک نقطه ضعف امنیتی دیدم که البته به توسعه دهندگانش خبر دادم و شاید بزودی Patch ای هم براش منتشر بشه اما بهر حال بدانید و اگاه باشید ، ضمن اینکه شهر در امن و امان است ( :wink: ) یکی از پارامترهای ورودی ماژول Surveys بخوبی چک نشده و میتونه براحتی دستورات SQL رو از مرورگر کاربر بپذیره و احتمالا" تغییراتی رو در بانک اعمال کنه ( مثلا با اجرای دستور Delete اسکوئل ) یا بقول کفار : SQL Injection . رفقائی که از این ابزار استفاده میکنند در اسرع وقت ماژول فوق الذکر رو از طریق وب غیر قابل دسترسی کنند . دریافت یک پیام خطا توسط کاربر خیلی بهتر از از دست دادن بانکه اطلاعاتیه :wink:

نرم افزار دارای نقطه ضعف : PHP - Nuke
میزان حساسیت نقطه ضعف : خیلی حساس ( Critical )
نام فایل دارای نقطه ضعف : Modules.php
جزء دارای خطا : Surveys
پارامتر دارای خطا : *****
عنوان کلی نقطه ضعف : SQL Injection
انتشار Patch : حس و حالش نبود . خودشون زحمتش رو خواهند کشید :roll:
انتشار Exploit : ممکنه کسی اینکار رو انجام بده ، حقیر اینکار رو نکردم .
تاریخ :9 دی ماه 1382

اینپرایز

Gladiator
چهارشنبه 10 دی 1382, 15:50 عصر
برای انتشار Exploit میخوای اقدام کنیم ؟ :mrgreen:

( الان سیل عظیم فحش جاری میشه )

البته کاریست بس غیر انسانی :cry:

Gladiator
چهارشنبه 10 دی 1382, 15:52 عصر
ولی در مجموع خوشم میاد که همه جا سرک میکشی . :mrgreen: آخه مگه بی کاری پسر ؟